ПОДДЕРЖКА СЕРТИФИКАТОВ И КАКОЙ ТИП УСТРОЙСТВА ВЫБРАТЬ ДЛЯ РАБОТЫ С ДОКУМЕНТАМИ

Ключевой носитель Рутокен

Почему налоговая требует ключевой носитель? Какой токен нужен для налоговой?

С начала 2022-го года, в соответствии с требованиями регулятора, УЦ ФНС России и его Доверенные лица стали единственным местом, где можно получить квалифицированную электронную подпись (сокращенно КЭП) руководителям юридических лиц, индивидуальным предпринимателям и нотариусам. Сделать это можно бесплатно, предоставив приобретенный ключевой носитель (подробнее о нем мы рассказываем в нашем посте), который соответствует требованиям ФСТЭК и ФСБ, а также, при необходимости, предъявив документы, подтверждающие подлинность носителя.

Какой же токен нужен для налоговой? Перед получением квалифицированного сертификата в операционном зале УЦ ФНС или в одном из Доверенных лиц УЦ ФНС необходимо выбрать ключевой носитель (он же токен). Соответствовать он должен следующим требованиям:

1. Имеет действительный сертификат ФСТЭК России или ФСБ России (см. тонкости по сертификации ниже)

2. Имеет форм-фактор USB-токен Type-A (для понимания — это формат разъема всем известной флешки). Известны случаи, когда УЦ соглашался выпустить сертификат на ключевой носитель с другим интерфейсом (USB Type-C, смарт-карта) с переходником на USB-A, однако никто не может вам этого гарантировать.

В линейке устройств Рутокен вы можете выбрать одну из двух моделей токенов:

Более подробное сравнение моделей можно найти по ссылке.

Запомните, что ключевой носитель при приобретении защищен PIN-кодом по умолчанию, который затем обязательно нужно будет сменить на уникальный.

Также важно знать, что для решения бизнес-задач в госсистемах, согласно российскому законодательству для компаний и индивидуальных предпринимателей, необходима именно квалифицированная электронная подпись и никакая другая.

Немного о сертификации ключевых носителей

Федеральный закон “Об электронной подписи” 63-ФЗ требует для создания и проверки КЭП применения средств электронной подписи (СКЗИ), сертифицированных ФСБ.

Чтобы проще было запомнить:

Таким образом, в случае с извлекаемыми ключами на Рутокен Lite, сгенерированными с помощью программного СКЗИ, в ФСБ должен быть сертифицирован именно программный криптопровайдер. А пассивный носитель Рутокен Lite в соответствии с Регламентом УЦ ФНС должен быть сертифицирован во ФСТЭК России.

В случае с неизвлекаемыми ключами на активном носителе Рутокен ЭЦП 2.0 2100, сертифицированным в ФСБ России должен быть сам носитель, так как при генерации ключей используется аппаратная криптография.

Также возможны варианты, когда Рутокен ЭЦП 2.0 2100 используется в качестве пассивного носителя с программным СКЗИ, которое должно быть сертифицировано в ФСБ или в качестве активного носителя совместно с программным СКЗИ (тогда сертификаты ФСБ должны быть и у токена, и у СКЗИ).

Про пассивные и активные ключевые носители мы рассказывали здесь.

Далее давайте рассмотрим токены для КЭП более детально и создадим пошаговую инструкцию по выбору ключевого носителя для налоговой и получения КЭП.

Какой же токен нужен в моей ситуации?

Выбор модели токена в зависимости от следующих факторов:

— Необходимость работы с ЕГАИС;

— Выбранное место получения квалифицированного сертификата (УЦ ФНС или Доверенные лица УЦ ФНС);

— Повышенный уровень безопасности, основанный на использовании неизвлекаемых ключей.

Если деятельность вашей организации связана с производством или реализацией этилового спирта, алкогольной и спиртосодержащей продукции (ЕГАИС Росалкогольрегулирование), то вам нужен Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы планируете получать квалифицированный сертификат в одной из точек выдачи Доверенных лиц УЦ ФНС, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы выбираете высокую степень защиты с помощью неизвлекаемых ключей на активном токене, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы хотите получить извлекаемые ключи, созданные программным криптопровайдером, на пассивном токене, то вам подойдет Рутокен Lite, сертифицированный ФСТЭК.

И еще один важный момент! Если вы не профессионал в области информационных технологий, очень важно приобретать токены компаний, обеспечивающих качественную техподдержку в случае внештатной ситуации. Крупные производители ключевых носителей, таких как Рутокен, всегда на связи с клиентами по различным каналам коммуникаций.

Порядок получения квалифицированных сертификатов на USB-токене

После выбора модели токена и его приобретения (кстати, приобрести его можно и у Доверенных лиц ФНС), для получения квалифицированного сертификата вам остается сделать всего пару последовательных шагов. А именно, записаться и прийти на прием в операционный зал ФНС или посетить одну из точек выдачи из списка Доверенных лиц УЦ ФНС вашего региона. Для идентификации заявителя прийти для получения сертификата потребуется лично, захватив с собой при этом пакет документов (перечень есть на сайте ФНС): паспорт, СНИЛС, ИНН (свой и организации), ОГРН и огрнип, а также, разумеется, сам токен и документацию к нему. Хотя некоторые Доверенные лица УЦ ФНС организуют сегодня и дистанционное получение КЭП. После этих незначительных усилий ваша единственная и неповторимая электронная подпись будет у вас в кармане — причем в прямом и переносном смысле!

Электронная подпись стала важным атрибутом современной цифровой среды, в этой статье мы постараемся ответить на вопрос «Как правильно подобрать более удобный и надежный вариант ключевых носителей?». Токен – это защищенный PIN-кодом специализированный носитель для безопасного хранения контейнера, с сертификатом и ключом электронной подписи. Такие специализированные носители бывают как «базового уровня» (пассивные), так и криптографические (активные). Активные токены позволяют не только хранить ключевую информацию, но и генерировать ее средствами встроенного в токен микроконтроллера. В таком случае ключ является неизвлекаемым.

Токены выпускаются в нескольких форм-факторах:

Наиболее универсальным выбором в этой категории является модель Рутокен ЭЦП 3.0 3220 Type-C. Этот ключевой носитель обеспечивает повышенный уровень безопасности ваших данных, имеет сертификаты ФСТЭК России и ФСБ России, а также предоставляет полную обратную совместимость с моделями линейки Рутокен ЭЦП 2.0. В части сценариев его использования, таких как работа в Личный кабинет ИП и юр. лиц ФНС на ОС Windows, Честный знак, ЕГАИС, ОФД, Госуслуги, Диадок, не нужно устанавливать дополнительные программы-криптопровайдеры. Рутокен ЭЦП 3.0 3220 Type-C подходит для хранения сертификата и ключа подписи и подписания документов усиленной квалифицированной электронной подписью, а также для организации защиты доступа с помощью двухфакторной аутентификации.

Еще одна модель, дополняющая достоинства флагманской линейки Рутокен ЭЦП 3.0 новыми функциональными возможностями, — Рутокен ЭЦП 3.0 3220 SD. Устройство дополнено возможностью дистрибуции документов и ПО прямо на токене. Данный токен производится в новом корпусе уменьшенных габаритов, и может поставляться как с предустановленной высокоскоростной картой памяти microSD, так и без нее. Устройство сертифицировано ФСТЭК России.

Смарт-карты для электронной подписи

Смарт-карта — это устройство, обладающее такими же возможностями, как и USB-токен. Обычно смарт-карты используют для электронной подписи или строгой двухфакторной аутентификации. Устройства могут оснащаться модулем NFC для работы с мобильными устройствами. Примером здесь может служить смарт-карта Рутокен ЭЦП 3.0 3220 с поддержкой новых российских криптографических стандартов, сертифицированная ФСТЭК России и ФСБ России.

Своей формой смарт-карта напоминает обычную банковскую карту. Она состоит из нескольких слоев, в один из которых интегрирован бесконтактный чип с антенной. Поверхность устройства покрыта ламинатом, что обеспечивает высокую износостойкость. При производстве смарт-карт, их можно персонализировать: нанести данные сотрудника, фотографию, QR/штрих-коды и пр.

Смарт-карты уже давно применяется в системах здравоохранения, промышленности, энергетике, являясь неотъемлемой частью юридически значимого электронного документооборота России. Еще одной отличительной чертой устройств является то, что они могут использоваться как часть системы физической безопасности предприятия. Такая смарт-карта оснащена RFID-меткой для использования в системах контроля и управления доступом (СКУД). Сочетание в одной смарт-карте персонального средства аутентификации и RFID-метки без лишних затрат и практически полностью решает проблему вторжений злоумышленников по причине незаблокированных компьютеров и сессий.

Помимо того, что смарт-карта может обеспечивать двухфакторную аутентификацию на рабочих станциях за счет NFC-канала, она помогает оптимизировать бумажный документооборот, когда сотрудники работают «в полях».

Что лучше выбрать – токен или смарт-карту?

Чтобы правильно подобрать форм-фактор ключевого носителя, необходимо понять, какие задачи перед вами стоят. Если вам достаточно самого простого способа защиты закрытого ключа электронной подписи от копирования – вам подойдут Рутокен Lite и Рутокен Lite micrо.

Для работы с квалифицированной электронной подписью, в ЕГАИС или других государственных системах учета и маркировки подойдут токены линейки Рутокен ЭЦП 3.0 (3100 NFC, 3220, 3220 micro и 3220 Type-C). Выбор конкретной модели зависит от требований к наличию NFC, подходящему размеру и интерфейсу подключения.

Напомним, что и на Рутокен Lite, и на Рутокен ЭЦП 3.0 можно хранить ключи электронной подписи и сертификаты. Однако, Рутокен Lite – это пассивный носитель, и для работы с ним всегда нужен программный криптопровайдер. Также у данной модели токена отсутствует аппаратная защита закрытого ключа электронной подписи от копирования. В свою очередь, линейка Рутокен ЭЦП 3.0 – это активный носитель, который может работать без программного провайдера. Неизвлекаемые ключи электронной подписи, хранящиеся на таком токене, нельзя скопировать или перехватить – подпись максимально защищена на аппаратном уровне. Неизвлекаемые ключи, защищенные ПИН-кодом, доступны через СКЗИ «КриптоПро CSP» 5.0 R2 и VipNet CSP 4.х и новее, а также через ПО (PKCS 11), работающее с такими ключами.

И, наконец, если среди ваших задач есть обеспечение дополнительной физической безопасности в офисе, рассмотрите решение на базе смарт-карт, в рамках которого получится объединить функционал, обеспечивающий физическую и информационную безопасность вашей организации. В рамках такого решения можно дополнить смарт-карты бесконтактными RFID-метками для контроля прохода через СКУД. Выбирайте осознанно, и пусть ваша информационная безопасность (и безопасность вашего бизнеса) будет основана на верном решении и надежных устройствах.

Время на прочтение

Привет, Хабр! Недавно мы с коллегами стали вспоминать, как выглядела работа с электронной подписью (ЭП) и ключевые носители, когда мы только начали работать в этой области. Мы искренне удивились тому, как за такое короткое время технологии шагнули вперед. Так родилась идея для этой статьи. Она для всех, кто когда‑нибудь имел дело с настройкой компьютера для работы с ЭП, отправкой отчетности в контролирующие органы, знает, что такое токены, оказывал техническую поддержку по работе с электронным документооборотом. Особенно для тех, кто помнит Windows XP, шариковые мышки и дискеты. Очень надеюсь, что этот материал вызовет у вас такую же теплую ностальгию, которую ощутили мы с коллегами, когда вспоминали, как это было.

Как выглядела безопасность электронной подписи в 2007 году

Тогда я была студенткой первого курса университета и впервые познакомилась с понятием «электронная цифровая подпись» в московском филиале компании СКБ Контур. Там я начала работать специалистом отдела технической поддержки, а через два года стала заместителем руководителя этого отдела.

Мы с коллегами помогали пользователям с настройкой рабочих мест и отправкой отчетности в контролирующие органы. В удостоверяющем центре СКБ Контур для работы с ЭЦП использовался криптопровайдер КриптоПро CSP (тогда еще версии 2.0). В своей работе мы руководствовались N 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. Сертификат электронно‑цифровой подписи выдавался на юридическое лицо на имя руководителя организации, ИП или полномочного представителя. После идентификации будущего владельца или предъявления доверенности ключи ЭЦП и сертификат генерировались на дискету 3,5» и передавались пользователю.

Кстати, серийный номер на КриптоПро CSP нужно было набирать только вручную, каждую группу из 5 символов в свое окошко, копипаст всего номера не работал. Серийный номер содержал только заглавные буквы, проверка была чувствительна к регистру, а при его вводе пользователи часто ошибались, путая цифру 0 и букву О.

Окно установки КриптоПро CSP версии 2.0

Контейнер генерировался без пароля. Для максимальной сохранности ключевой пары на дискете можно было выставить переключатель в режим защиты от записи. На время работы с ключами электронной подписи переключатель нужно было вернуть в исходное положение, иначе работа с ключами ЭЦП в КриптоПро CSP была невозможна.

Некоторые клиенты использовали дискету как антистресс и постоянно щелкали металлической задвижкой. От этих действий дискета могла выйти из строя. А еще она могла размагнититься, например, после поездки на троллейбусе или метро. По моим наблюдениям, дискеты ломались часто, считать содержимое со сломанной дискеты было практически невозможно.

Очень хорошо помню, как слышала на другом конце провода у пользователя звук дисковода, который пытался прочитать сломанную дискету поздно вечером в последний день сдачи отчетности.

В офис СКБ Контур также можно было прийти с флешкой и попросить записать ключи ЭЦП на нее. Этот вариант был надежнее дискеты. Контейнер (как и на любом съемном носителе в файловой системе) записывался в главный раздел флешки подобно обычной папке. Контейнер не отображался в КриптоПро CSP, если он лежал не в корне флешки, а во вложенной папке. Кстати, если у папки с контейнером убирали расширение.000, она тоже переставала отображаться в КриптоПро CSP. Иногда ключи могли частично повредиться и переставали считываться. Но флешку можно было случайно отформатировать.

Контейнеры с ключами в то время можно было скопировать с любого носителя — они были извлекаемыми и экспортируемыми. Если уже в ходе последующего копирования контейнера пользователь устанавливал запрет на экспорт контейнера, то его можно было скопировать со съемного носителя через файловую систему.

Для удобства использования один сертификат ЭЦП на генерального директора раздавался всему штату бухгалтеров. Кто‑нибудь обязательно забывал носитель с ключами дома. Свободный USB‑разъем в компьютере был, скорее, редкостью. Поэтому очень популярно было копирование ключей в реестр ОС Windows.

Все это работало очень удобно до тех пор, пока пользователю не переустанавливали Windows, предварительно забыв сохранить ключи из реестра. А для расшифровки ранее отправленной отчетности были нужны старые ключи.

Все новое пугает

В начале 2008 года СКБ Контур начал выдавать ключи ЭЦП на новое устройство — Рутокен. Поначалу все это было непонятно, страшно и непривычно. Вроде с виду флешка, но ее не видно в «Моем компьютере» как съемный носитель. Рутокен первой версии не являлся полноценным и уже привычным сейчас CCID‑устройством, поэтому для работы с ним обязательно нужно было установить Драйверы Рутокен. А для отображения в КриптоПро CSP устанавливались Модули поддержки. Содержимое токена можно было просмотреть только через криптопровайдер.

Драйверы Рутокен для Windows версия 1.41 (2008 год)

Тогда далеко не все версии КриптоПро CSP по умолчанию работали с токенами. Предварительно нужно было запустить КриптоПро CSP с правами администратора и во вкладке «Оборудование» добавить нужное количество виртуальных считывателей «Aktiv Co. ruToken».

Добавление считывателей в КриптоПро CSP версии 2.0

Постепенно мы обновили инструкции для сотрудников техподдержки и пользователей. Количество обращений по замене носителей стало значительно меньше по сравнению с дискетами. Первое время пользователи часто жаловались, что им при покупке не выдали «колпачок от флешечки». Колпачок, кстати, при желании, можно приобрести отдельно. Со временем я искренне полюбила эти устройства за их надежность. А еще их не надо было безопасно извлекать в отличие от флешек или дискет. Единственное, что мне сильно не нравилось на тот момент — первый Рутокен полностью блокировался, если некорректный PIN‑код Администратора был введен несколько раз подряд.

Первые модели Рутокен на смену всему старому

И вот нам представили новое устройство — Рутокен S. Это первое устройство, которое работало не только на Windows, но и на Linux и macOS после установки драйвера. Он был гораздо быстрее своего предшественника по скоростным характеристикам, а еще после блокировки устройства его можно было отформатировать и использовать повторно для записи ключей.

Панель управления Рутокен — Драйверы Рутокен для Windows версии 2.71.00.0 (2011 год)

Интересный факт: по нашим наблюдениям, порядка 20% пользователей читают название первой вкладки Панели управления Рутокен «АДМИНИСТРАТИРОВАНИЕ». Каждый раз, когда слышу это слово, на всякий случай проверяю, вдруг все-таки опечатка 🙂

Примерно в это же время начали поступать обращения пользователей о злоумышленниках, отправляющих заведомо неверную отчетность в контролирующие органы с использованием чужих ключей и сертификата ЭЦП. Понятно, что любая отчетность потом могла быть скорректирована, но это создавало дополнительные проблемы организации. Так, например, бывший главный бухгалтер отправил налог на прибыль с повышенными показателями, чтобы отомстить за незаконное, по его мнению, увольнение. Поэтому мы начали информировать пользователей о необходимости смены PIN-кодов, рассказывали, как важно хранить носитель с электронной подписью в сейфе, а при подозрении на компрометацию ключей незамедлительно отозвать сертификат.

Все изменилось после появления новой модели — Рутокен ЭЦП. Помимо пассивного хранилища для ключевой пары и сертификата, это устройство могло выступать в роли самостоятельного криптопровайдера, генерировать неизвлекаемые ключи формата PKCS#11. В таком режиме Рутокен, как маленький компьютер, выполняет все операции внутри себя, никогда не отдавая закрытый ключ наружу. Эту модель можно было использовать и для двухфакторной аутентификации в домене.

Для работы с Рутокен ЭЦП, в отличие от предыдущих версий токенов, не обязательно было устанавливать драйверы — во всех современных ОС они назначались автоматически, оставалось только установить криптопровайдер.

Со временем ошибок при установке драйверов стало меньше, и мы уже не представляли жизнь ЭЦП без токена. Тем более, что комплектация системных блоков дисководом 3,5” встречалась все реже.

Силиконовая подставка под кружку — брендированная продукция Компании «Актив»

Возможность использования ЭЦП добавляется в большее количество сервисов. К отчетности в налоговую и пенсионный фонд добавляется отчетность в ФСС, работа на электронных торговых площадках и в государственных сервисах, системах ЭДО, банк-клиентах и т.д. Сертификаты ЭЦП выдаются с определенными областями применения в зависимости от стоящих перед пользователем задач.

В то время ключи в КриптоПро CSP генерируются с использованием алгоритмов  ГОСТ 2001 только в пассивном режиме. То есть для любой операции с электронной подписью закрытый ключ ненадолго извлекается в оперативную память компьютера. При использовании такого формата ключей существует риск перехвата их злоумышленником.

Токены других производителей, такие как eToken, JaCarta, на тот момент я встречала в своей практике реже, но поработать с ними тоже успела.

Новая работа, новые модели Рутокен, новые термины

В 2013 году, оставив исключительно теплые воспоминания о компании СКБ Контур, я пришла в Компанию «Актив» и начала свой путь со специалиста службы технической поддержки. Сейчас я работаю ведущим менеджером по сопровождению партнеров.

В те годы модель Рутокен ЭЦП была удобной и хорошей во всем кроме цены. Некоторым пользователям не нужны были дополнительные функции работы с неизвлекаемыми ключами, и Компания «Актив» учла их потребности и выпустила Рутокен Lite, который также не требовал установки драйверов, но при это работал только с пассивными контейнерами программных криптопровайдеров.

В эти годы активно развивались мобильные технологии. Кажется, абсолютно все разбирались в отличиях iPhone 4 от 4S и знали, как обновить Android на старом смартфоне. Поэтому складывалось ощущение, что совсем скоро вся работа полностью будет производиться с использованием мобильных устройств, в том числе и работа с ЭЦП. Поэтому первыми среди других производителей в России Компания «Актив» выпустила устройство Рутокен ЭЦП Bluetooth для подключения по беспроводному каналу к мобильным устройствам с iOS и Android. Но на тот момент рынок еще не был готов к этому.

В Панель управления Рутокен была добавлена вкладка «Сертификаты» для просмотра ключей и сертификатов на токене. Теперь пользователям был доступен экспорт и импорт ключей и установка сертификатов формата ГОСТ в личное хранилище. Со временем была добавлена проверка надежности сертификата и установка доверенных корневых сертификатов.

Для повышения безопасности работы с ЭП в КриптоПро CSP появляется режим ФКН — функциональный ключевой носитель. Ключи в таком формате неизвлекаемые, а канал обмена между токеном и компьютером шифруется для исключения возможности перехвата данных. Для этих целей был разработан программно‑аппаратный комплекс КриптоПро Рутокен CSP, который комплектовался специальной модификацией Рутокен ЭЦП с поддержкой только формата ФКН.

В 2014 году «электронная цифровая подпись» становится «электронной подписью». Аккредитованных удостоверяющих центров к этому моменту было более 500. Мы консультировали не только по настройке системы для работы с устройством Рутокен, но и запоминали основные особенности настройки той или иной информационной системы, других криптопровайдеров (Signal‑COM, VipNet CSP, Лисси). Старались помогать со смежными проблемами: установкой доверенных корневых сертификатов и необходимых для работы плагинов. Если ранее к нам обращались пользователи преимущественно с ОС Windows, то теперь поступало все больше запросов по настройке ОС Linux и macOS. Мы учились устанавливать пакеты, работать со связкой ключей Keychain. Могли подружить VipNet CSP и КриптоПро CSP на одной машине.

Неизвлекаемые ключи

Глобальным событием стало внедрение системы ЕГАИС Росалкогольрегулирование, где для работы можно было использовать только неизвлекаемые ключи формата PKCS#11. Изначально в этой системе для работы поддерживались только ключи JaCarta. Когда в список поддерживаемых носителей был добавлен Рутокен ЭЦП, мы быстро разобрались в настройке универсального транспортного модуля, стали понимать логи ошибок программы и оказывать техническую поддержку и по этому направлению.

В КриптоПро CSP добавляется первый вариант работы с ключами PKCS#11, называемый rutoken_crypt.

А с 2019 года вводятся в использование ключи по новому стандарту электронной подписи — ГОСТ 2012. Поддержка этого формата была реализована в КриптоПро CSP версии 4.0, а для генерации неизвлекаемых ключей на токене Компания «Актив» выпустила новую линейку — Рутокен ЭЦП 2.0.

За эти годы я застала немало версий КриптоПро CSP: от версии 2.0 до версии 5.0 R3.

А помните такую особенность: с контейнером, созданным на старшей версии КриптоПро CSP, нельзя было работать на младшей версии?:‑)

Было немало сообщений о том, что большой токен, подключенный к системному блоку, пользователи могли задеть ногой, а уборщицы — шваброй. Поэтому был создан компактный Рутокен в форм-факторе micro.

Пользователям токенов нужны были более компактные и функциональные устройства: для работы на мобильных телефонах, ноутбуках и новых Macbook — так появился Рутокен с разъемом Type-C, а для одновременного использования в качестве пропуска — смарт-карты с метками для входа в помещение. В 2021 году, спустя 7 лет после выпуска первого устройства Рутокен ЭЦП Bluetooth, перед нами стояла задача сделать беспроводную работу более быстрой, надежной и удобной для встраивания. Так, в линейке Рутокен ЭЦП 3.0 появились модели с NFC.

Настоящее время и ближайшее будущее

С 2022 года квалифицированная электронная подпись на руководителя организации или ИП может быть получена только в УЦ ФНС России и у его доверенных лиц. Остальные аккредитованные удостоверяющие центры выдают КЭП только на уполномоченных представителей.

Федеральной налоговой службой выпущены методические материалы для налогоплательщиков, которые помогают пользователям разобраться в терминологии. К носителям ключей ЭП предъявляются все более строгие требования. Теперь КЭП можно получить только на сертифицированные устройства. Для повышения безопасности извлекаемые ключи генерируют только неэкспортируемыми, то есть с запретом на последующее копирование.

В электронный документооборот добавляется машиночитаемая доверенность, которая должна предоставляться с каждым направленным документом, если его отправляет не руководитель организации. А отправитель теперь будет использовать для подписания квалифицированный сертификат, выданный на физическое лицо.

В КриптоПро CSP добавлена возможность работы с библиотекой rtpkcs11ecp. Этот формат ключей называется Активный токен (pkcs11_rutoken_ecp). Для конечного пользователя разница в работе с КриптоПро CSP+КриптоПро Browser Plug‑In c различными форматами незаметна.

Начиная с версии КриптоПро CSP 5.0 добавлено кроссплатформенное графическое приложение «Инструменты КриптоПро» для работы с контейнерами и сертификатами, управления носителями и другими полезными функциями.

Развитие токенов тоже не стоит на месте. Появилась новая линейка устройств — Рутокен ЭЦП 3.0, которую можно использовать для хранения пассивных, активных или ФКН ключей. Они также поддерживают ГОСТ 2018 и работают в системе ЕГАИС Росалкогольрегулирование.

Для работы в сложном промышленном окружении были выпущены устройства Рутокен ЭЦП Metal с защитой от вибраций и с электромагнитной стойкостью. Некоторые заказчики просили внешне более красивые устройства, например, для того, чтобы у генерального директора был токен в стильном металлическом корпусе.

Для дополнительного хранения информации есть модели Рутокен с flash‑памятью или картридером для модулей памяти формата microSD. Самое удобное применение для таких моделей — хранение дистрибутивов программ для работы с системой, для которой выпущена ЭП.

Многообразие форм-факторов устройств Рутокен

Функциональность Панели управления Рутокен для Windows с каждым годом расширяется: сейчас с ее помощью можно устанавливать доверенные корневые сертификаты, доступны импорт и экспорт, расширены возможности администрирования.

Панель управления Рутокен — Драйверы Рутокен для Windows версии 4.16.0.0 (2023 год)

В ближайшее время будет представлен новый продукт для работы в ОС Linux — Центр управления Рутокен.

Центр управления Рутокен в ОС Linux (2023 год)

Вместо заключения

Интересно, как за эти годы изменилось отношение пользователей к квалифицированной электронной подписи. Очевидно, что за многие годы развития электронной подписи, токены претерпели большие изменения. Они больше не ломаются, как Дискеты, и не позволяют с легкостью скомпрометировать данные. На мой взгляд, КЭП стала привычным и обязательным инструментом для электронного документооборота. Работа с защищенными ключевыми носителями — токенами и смарт‑картами, уже воспринимается как данность. Сейчас все больше людей осознанно выбирает безопасность, изменяя PIN‑код сразу после получения нового токена. Все чаще пользователи выбирают активные ключевые носители для защиты ключей ЭП от копирования или перехвата и просят сгенерировать в УЦ ключи КЭП в более защищенных форматах: неизвлекаемые ключи PKCS#11 или ФКН. Мобильная электронная подпись в наши дни становится все более реальной.

Мы с коллегами из отдела технической поддержки Актива в течение 10 лет собирали коллекцию, смешных названий, которые используют клиенты при обращении к нам за помощью. Сегодня настало время поделиться с вами 🙂

Вот такая ностальгическая статья получилась, надеюсь, вам понравилось. Многое из того, что описано в этой статье, уже стало историей. Буду рада и вашим воспоминаниям в комментариях, ведь так приятно иногда вспомнить как это было в самом начале :‑)

Какой токен выбрать для вашего бизнеса

В современном мире электронная подпись (сокращенно — ЭП) активно задействована в бизнес-процессах. Электронный документооборот внутри компании и за ее пределами, взаимодействие с госорганами, электронная переписка, обмен файлами и подписание транзакций в системе дистанционного банковского обслуживания — это далеко не полный список процессов, где электронная подпись подтверждает авторство документа, его неизменность и оригинальность содержания. Как видим, спектр использования ЭП достаточно широк. При этом наличие электронной подписи позволяет ее владельцу решать задачи быстро и безопасно, будь то задачи юридического или физического лица.

Какой токен выбрать?

Самым базовым вариантом защищенного ключевого носителя является Рутокен Lite. Его относят к пассивным ключевым носителям — он выступает лишь в роли защищенного PIN-кодом хранилища, в то время как ключи ЭП генерирует особая программа — криптопровайдер. Таким образом, для успешной и безопасной работы с Рутокен Lite пользователю необходимо иметь всего две вещи: секретный PIN-код и сам токен. Применяется такое устройство, к примеру, для подписания или шифрования служебной или личной переписки.

К ключевым носителям, имеющим криптографическое ядро, относятся Рутокен ЭЦП 2.0 2100, Рутокен ЭЦП 3.0 и другие. Это уже активные ключевые носители, способные генерировать ключи ЭП в собственном криптоядре без передачи их в память компьютера. И в этом их основное отличие от пассивных Рутокен Lite. Все они поддерживают российские и международные алгоритмы электронной подписи. Такие ключевые носители необходимы, к примеру, для работы в информационных системах с повышенными требованиями к безопасности в финансовом, корпоративном (Банк-Клиент) и государственном (ЕГАИС) и других секторах.

Учитывая сказанное, при выборе модели ключевого носителя для электронной подписи для начала определите задачи, которые вам предстоит решать. Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей “на борту», такие как Рутокен ЭЦП 2.0 2100. Так ваша электронная подпись будет максимально защищена.

Как устроена работа различных ключевых носителей

Самый простой ключевой носитель хранит ключи электронной подписи, но не «умеет» самостоятельно подписывать электронные документы. Для подписания документа пользователь подключает токен к компьютеру и вводит секретный PIN-код, который разблокирует доступ к защищенной памяти устройства. После этого специальная программа (криптопровайдер) временно выгружает в оперативную память компьютера из токена ключи электронной подписи и вычисляет саму электронную подпись. Еще раз подчеркнем — без знания PIN-кода доступ к ключам невозможен. Поэтому похитив ключевой носитель, злоумышленник все равно не сможет им воспользоваться и подписать вместо вас электронные документы. При переборе PIN-кода устройство блокируется.

Более продвинутым вариантом ключевого носителя является ключевой носитель со встроенным криптографическим ядром. В этих устройствах ключи электронной подписи создаются внутри токена или смарт-карты и никогда не покидают защищенной памяти. Документ, который должен быть подписан, передается в токен, а возвращается вычисленная электронная подпись.

В России стандартом электронной подписи де-факто являются технологии и устройства Рутокен.

Ключевой носитель как решение

Для того, чтобы подписать электронный документ, вам понадобится ключ электронной подписи, который представляет собой секретный уникальный набор символов, доступ к которому имеет только владелец ЭП.

В принципе, ключ простой электронной подписи можно хранить на жестком диске компьютера или на обычной флешке. Все перечисленные способы возможны, но с высокой вероятностью могут обернуться рисками физической потери информационного носителя или кражи/копирования информации с вашего жесткого диска. Во втором случае, оперативно узнать, скомпрометирован ли ваш ключ ЭП или нет будет весьма сложно.

Федеральный закон ФЗ-63 «Об электронной подписи» не регламентирует способ хранения ключей, но требует обеспечивать их конфиденциальность. В частности, не допускать использования ключей без согласия их владельцев, а также уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа и не использовать ключ при наличии оснований полагать, что его конфиденциальность нарушена.

Чтобы защититься от подобных угроз, были разработаны специальные устройства – защищенные ключевые носители, которые надежно хранят ключи электронной подписи. Находясь в поиске решения, какой токен выбрать для вашего бизнеса следует разобраться, что же такое ключевой носитель. Именно это устройство чаще всего имеют в виду, когда говорят, что вам необходимо получить электронную подпись. Внешне оно напоминает флешку (хотя есть и модели в формате смарт-карт, подробный разбор форм заслуживает отдельной статьи), однако внутреннее содержание ключевого носителя намного богаче – сложные процессоры и программы, обеспечивающие криптографические операции для шифрования ваших данных. Но криптографией займемся позже, а пока же разберем основные понятия.